The Design Process

1. 2.

Common Designs
LAN-to-Internet Public Servers

Determinar las zonas: la infraestructura de red debe ser dividida en zonas con diferentes niveles de seguridad. Establecimiento de polticas entre las zonas: para cada par de zonas origen-destino se define la sesin que los clientes en las zonas de origen pueden solicitar de los servidores en las zonas de destino. Generalmente, sesiones TCP o UDP, tambin pueden ser ICMP Diseo de la infraestructura fsica: el administrador debe disear la infraestructura fsica tomando en cuenta los requerimiento de seguridad y disponibilidad (redundancia). Identificacin de subconjuntos en las zonas y fusin de requerimientos de trfico: en cada dispositivo firewall del diseo, el administrador debe identificar subconjuntos en las zonas conectadas a sus interfaces y unir los requerimientos de trfico en esas

3.

Redundant Firewalls

Complex Firewall

4.

Zones Simplify Complex Firewall

Actions
El firewall IOS de poltica basada en zonas puede llevar a cabo tres posibles acciones:

Inspect inspeccin de paquetes por estados (stateful), equivalente al comando CBAC ip inspect.

Drop (descartar) anlogo a la sentencia ACL deny

Pass anlogo a la sentencia ACL permit. No monitorea, permite el trfico en una sola direccin.

Reglas asociadas a las interfaces

Rules for Application Traffic

Source interface member of zone? NO YES (zone 1) YES NO YES (zone 1) YES (zone 1) YES (zone 1) Destination interface member of zone? NO YES (zone 1) NO YES YES (zone 2) YES (zone 2) YES (zone 2) Zone-pair exists? Policy exists? RESULT

Debe configurarse la zona antes de que el administrador pueda asignar interfaces a ella. Si el trfico debe fluir entre todas las interfaces de un router, cada interfaz debe ser miembro de una zona. El administrador puede asignar una interfaz a slo una zona de seguridad. El flujo del trfico se permite implcitamente entre las interfaces que pertenecen a la misma zona. Para permitir el trfico desde y hacia una interfaz que pertenece a una zona, debe configurarse una poltica que permita o inspeccione el trfico entre esa zona y cualquier otra. El trfico no puede fluir entre una interfaz perteneciente a una zona y cualquier otra interfaz que no pertenezca a esa zona. El administrador puede aplicar acciones de paso, inspeccin y descarte slo entre dos zonas. Las interfaces que no han sido asignadas a una zona pueden usar la configuracin CBAC de inspeccin de paquetes con estados. Si un administrador no desea que una interfaz en el router sea parte de la poltica de firewall basado en zonas, puede ser necesario colocar esa interfaz en una zona y configurar una poltica que deje pasar todo (tambin conocida como poltica falsa) entre esa zona y cualquier otra zona a la que se desee que fluya el trfico.

N/A N/A* N/A N/A NO YES YES

N/A N/A N/A N/A N/A NO YES

No impact of zoning/policy No policy lookup (PASS) DROP DROP DROP DROP policy actions

*zone-pair must have different zone as source and destination

Rules for Router Traffic

Source interface member of zone? ROUTER ROUTER ROUTER YES YES YES Destination interface member of zone? YES YES YES ROUTER ROUTER ROUTER Zonepair exists? NO YES YES NO YES YES Policy exists? NO YES NO YES RESULT

Implementing Zone-based Policy Firewall with CLI

Configuracin del firewall de poltica basad en zonas con CLI: 1. Crear las zonas para el firewall con el comando zone security 2. Definir clases de trfico con el comando class-map type inspect 3. Especificar polticas de firewall con el comando policymap type inspect 4. Aplicar polticas de firewall a los pares de zonas de origen y destino usando el comando zone-pair security 5. Asignar interfaces de router a las zonas usando el comando de interface zone-member security.

PASS PASS policy actions PASS PASS policy actions

Implementing Zone-based Policy Firewall with CLI

1. Create the zones for the firewall with the zone security command 2. Define traffic classes with the class-map type inspect command

Step 1: Create the Zones

3. Specify firewall policies with 4. Apply firewall policies to pairs of source and destination zones with the policy-map type zone-pair security inspect command 5. Assign router interfaces to zones using the zone-member security interface command

FW(config)# zone security Inside FW(config-sec-zone)# description Inside network FW(config)# zone security Outside FW(config-sec-zone)# description Outside network

Step 2: Define Traffic Classes

Step 3: Define Firewall Policies

FW(config)# class-map type inspect FOREXAMPLE FW(config-cmap)# match access-group 101 FW(config-cmap)# match protocol tcp FW(config-cmap)# match protocol udp FW(config-cmap)# match protocol icmp FW(config-cmap)# exit FW(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any

FW(config)# policy-map type inspect InsideToOutside FW(config-pmap)# class type inspect FOREXAMPLE FW(config-pmap-c)# inspect

Step 4: Assign Policy Maps to Zone Pairs and Assign Router Interfaces to Zones

Final ZPF Configuration

policy-map type inspect InsideToOutside class class-default inspect ! zone security Inside description Inside network zone security Outside description Outside network zone-pair security InsideToOutside source Inside destination Outside service-policy type inspect InsideToOutside ! interface FastEthernet0/0 zone-member security Inside ! interface Serial0/0/0.100 point-to-point zone-member security Outside

FW(config)# zone-pair security InsideToOutside source Inside destination Outside FW(config-sec-zone-pair)# description Internet Access FW(config-sec-zone-pair)# service-policy type inspect InsideToOutside FW(config-sec-zone-pair)# interface F0/0 FW(config-if)# zone-member security Inside FW(config-if)# interface S0/0/0.100 point-to-point FW(config-if)# zone-member security Outside

CLI Generated Output

Display Active Connection

Router# show policy-map type inspect zone-pair session

Shows zone-based policy firewall session statistics